Межсетевые экраны Cisco ASA vs маршрутизаторы Cisco ISR

Если говорить в общем, то можно констатировать, что большинство функций и протоколов безопасности поддерживаются как системами Cisco ASA, так и маршрутизаторами Cisco ISR. К основным из них можно отнести:

  • NAT
  • Межсетевой экран
  • IPS
  • Site-to-site VPN
  • Remote Access VPN

Учитывая, что Cisco ASA все-таки является полноценным устройством безопасности, его основными функциональными инструментами являются IPS, межсетевой экран и VPN-концентратор для удаленных абонентов. Именно работа этих функций лучше отражена в устройствах Cisco ASA, нежели в маршрутизаторах. Также отличительным фактором является то, что большинство протоколов и инструментов безопасности работают в ASA-системе по умолчанию, а для маршрутизатора их нужно подключать принудительно. Рассмотрим более детально, какие инструменты работают в устройствах безопасности максимально эффективно, а какие имеют некоторые ограничения.

NAT

Эта технология поддерживается системой Cisco ASA во всевозможных модификациях, включая и двойной Twice NAT.

Межсетевой экран

Этот инструмент способен поддерживать глубокий анализ содержимого протоколов. В режиме экрана система ASA функционирует в двух конфигурациях: маршрутизируемой и прозрачной (Transparent Firewall). Функционирование системы допускается как в режиме единственного, так и множественного контекста. В последнем случае на функционал системы безопасности накладываются определенные ограничения, связанные с применением определенных версий операционного софта. Например, в режиме множественного контекста некоторыми ОС не поддерживается Remote Access VPN.

Identity Firewall, TrustSec

Благодаря этому инструменту организовывается система доступов к информационным ресурсам посредством использования меток, установленных для пользовательских групп из LDAP.

IPS

Предложенная система позволит исключить вторжение посредством кибератак. Cisco ASA уже имеют встроенные IPS-модули, и для их использования потребуется только купить нужную лицензию.

ASA CX

Этот инструмент обеспечивает контроль работы с приложениями отдельных пользователей и групп, имеет встроенный Web-фильтр с проверкой репутации. Это позволяет гарантировать высокий уровень безопасности с учетом контекста. Для возможности использования СХ-инструмента в системе ASA, для старшей модели 5585-Х потребуется приобрести блейд-модуль SSP-10/20, а для других модификаций нужна только установка SSD-диска.

Remote Access VPN

Инструмент безопасности этого типа может применяться в трех конфигурациях.

  • Для большинства современных ПК-платформ, а также для мобильных устройств можно использовать туннели SSL/IPSec IKEv2. Возможна поддержка интеграции с Cisco Cloud Web Security и Secure Desktop.
  • Для работы с приложениями на Web-порталах предназначается бесклиентский SSL VPN.
  • С целью "проброса" портов к установленным информационным приложениям может применяться тонкий клиент в Web-браузере. Его роль играют Java-плагины или MS Active-X скрипты.

Маршрутизация

Поддерживаются конфигурации EIGRP, OSPF, а также статическая маршрутизация. Cisco ASA не имеет аналогов VTI-интерфейсов, что вводит некоторое ограничение на число возможных соседей в IPSec-туннелях. При поддержке связи посредством IPSec каждый из внешних интерфейсов поддерживает только одного соседа по процессу динамической маршрутизации.

Резервирование Failover

Эту функцию можно использовать с единственным и множественным контекстом, соответственно в режимах Standby\Active и Active\Active. В случае необходимости переключения на резервное устройство ASA может активироваться режим Stateful.

Для конфигураций сетей, которые отличаются повышенными требованиями к пропускной способности и производительности, могут несколько устройств ASA объединяться в единый кластер. Такая система позволит выполнить балансировку в среде с показателем пропускной способности от 128 до 320 Гбит/с.

QoS

Системами ASA поддерживается шейпинг только для Default Class, а классификация при помощи NBAR отсутствует.

В большинстве случаев представленного потенциала более чем достаточно для поддержки высокого уровня безопасности, но есть некоторые незаменимые функциональные инструменты, которые доступны только в конфигурации маршрутизатора. В их число входят следующие:

  • балансировка трафика при помощи интеллектуальной маршрутизации PBR, OER или Round-Robin;
  • VRF
  • DMVPN
  • GRE-туннели
  • BGP
  • MPLS
  • GETVPN
  • сервисы IVR, WAAS, CUBE, Gatekeeper, WLAN Controller и др.

На предложенных ниже графиках проведено сравнение цен и производительности межсетевых экранов (МСЭ). В качестве реперных точек используются максимально возможные значения производительности IPSec и МСЭ.

Зависимость стоимость/производительность для МСЭ:as501.png

Для ASA-систем на оси стоимости представлена базовая цена этих платформ, а для маршрутизатора – приведена величина цены SEC Bundle, без дополнительных интерфейсных модулей.

Графическая зависимость сравнения стоимости к производительности для IPSec VPN:as502.png

Следует отметить, что для платформ маршрутизации, которые владеют SEC-лицензией, производительность ограничивается 85 Мбит/с в каждую из сторон. При покупке дополнительной лицензии HSEC такое ограничение снимается. На предложенных графиках все модели от 2951-й серии уже имеют лицензию HSEC, а также дополнительно владеют встроенным модулем шифрования VPN ISM.

Некоторые отличия между маршрутизаторами и ASA есть и в плане производительности IPSec-шифрования. Для систем маршрутизации этот показатель зависит от работоспособности модуля шифрования и от программной составляющей, зависящей от CPU. В устройствах Cisco ASA он не зависит от потенциала CPU, так как полностью выполняется посредством использования ASIC-схем.

Итоги

Подытожив все сказанное выше можно сделать выводы, что в зависимости от конкретно поставленных задач предпочтение может отдаваться либо Cisco ASA, либо маршрутизатору.

Если задача стоит в предоставлении безопасного выхода абонентов в интернет и поддержки удаленного доступа для мобильных сотрудников, то в таком случае предпочтительнее будет система безопасности Cisco ASA. Если оборудование устанавливается в филиалах больших компаний и требуется поддержка большого числа сервисов, то в этом случае лучше установить маршрутизатор.

При организации системы безопасности в главном офисе, на границе сети, рекомендуется использовать оба устройства, разделив между ними функциональные задачи. Cisco ASA может успешно применяться для межсетевого экрана, фильтра контента, поддержки IPS и VPN, а маршрутизатор будет использован для работы с протоколами динамической маршрутизации (EIGRP, BGP, DMVPN).